現今的交易行為從以往的以物易物、貨幣交易,乃至發展到今日的電子商務、行動商務,考驗著系統設計者的資安意識。本文將介紹NFC的基礎概念,並從電子商務所使用的EMV、行動支付等交易機制著手,結合情境探討現行的NFC安全架構風險,以及因應的預防方式。
「科技始終來自於人性」、「有錢能使鬼推磨」,人與人的交易行為與現今人文社會技術等發展可說是密不可分,各種前瞻技術與行動支付科技的融合應用,不僅減少了商家的人力、物力成本,也使得現今人們的交易行為,有了本質上的劇變。
藉由無線上網的環境成熟,加上行動裝置的普及,行動商務的發展讓人們的經濟活動更加熱絡。而具備近場通訊(Near Field Communication,NFC)功能智慧型手機的出現,帶來了行動支付的方便性,NFC的安全性也日益受到重視。
由於NFC的特性,能夠以非常低的成本輕鬆整合至大量設備之中。然而,進步帶來便利,也會帶來相對的風險,而在高度資訊化時代最棘手的問題,莫過於如何保障資訊安全。目前已經發現了幾種新的攻擊方式,使用NFC設備作為攻擊平台或受到攻擊的設備。而較為主流的攻擊是利用硬體、軟體等進行的中間人攻擊。
本文將介紹NFC的基礎概念,說明現行行動商務所使用的EMV、行動支付等交易機制,並由現在的資料傳輸機制,透過模擬在實際交易環境下的攻擊案例,以探討在現行的NFC傳輸過程中可能遇到的潛在風險,以及事先預防的做法。
相關背景知識說明
在進入主題之前,先說明與本文探討主題有關的背景知識。
NFC相關應用
NFC是基於RFID(Radio Frequency Identification,非接觸式射頻識別)標準建構的短距離傳輸技術,以提供非接觸式的傳輸模式,具有NFC功能的設備能夠讀取及模擬RFID標籤,並與其他設備或非接觸式智慧卡通訊。NFC已通過ISO/IEC IS 18092國際標準、EMCA-340標準與ETSI TS 102 190-2003標準,因此與該領域已經使用的技術向後兼容,是一種短距高頻的無線傳輸技術。
近年來,由於NFC的特性,能夠以非常低的成本輕鬆整合到各種電子設備中,使得NFC技術在當今的無線傳輸感應器網路中得到了廣泛應用,如行動支付,文件傳輸、身分識別、檔案下載以及瀏覽等多個領域。
目前NFC可以使用的相關應用,包括以下幾項:
行動支付
透過內建NFC晶片的行動裝置,可以與建有NFC晶片的付款裝置進行資料傳輸,並搭配行動電話所具備的網路功能,在進行安全性與付款人身分資訊的驗證後,完成交易服務。
電子票證
透過事先設計的電子票券或憑證,將認證資訊儲存於證件的晶片內,等到需要出示證件時或交易時,透過NFC讀取器將相關憑證取出並完成驗證,即可達成票證驗證身分之目的,例如身分證、駕照等。
互動媒體應用
將NFC晶片標籤內嵌入海報或電子媒體看板中,並透過內建NFC晶片的行動裝置讀取,可由NFC晶片標籤的內容引導至網路服務端,並開啟相關服務或訊息。
其他應用
自製存有資訊的NFC標籤,讓其他NFC裝置讀取。例如內建店家Wi-Fi連線帳號等資訊的NFC標籤,使用者只要透過內建NFC行動裝置,便可立即一鍵完成上網設定。此外,具備NFC的裝置亦可彼此進行點對點的溝通與資料交換。
EMV標準
EMV(Europay、MasterCard與Visa)是以最初制定標準的三家公司首字母為名,屬於國際金融業界所制定的標準,對於智慧型支付卡、可使用晶片卡的POS終端機以及自動櫃員機(ATM)等等所制定的規範。